De forma predeterminada, los usuarios de su proyecto pueden crear discos persistentes o copiar imágenes utilizando cualquiera de las imágenes públicas y cualquier imagen a la que las entidades principales puedan acceder a través de roles de IAM . Sin embargo, en algunas situaciones es posible que desee restringir las entidades principales para que puedan crear discos de arranque solo a partir de imágenes que contengan software aprobado que cumpla con su política o requisitos de seguridad.
Utilice la función Imagen confiable para definir una política de organización que permita a las entidades principales crear discos persistentes solo a partir de imágenes en proyectos específicos.
Para restringir las ubicaciones donde se pueden usar sus imágenes, lea cómo restringir el uso de sus imágenes, discos e instantáneas compartidas .
Antes de comenzar
- Lea la página Uso de restricciones para obtener información sobre cómo administrar políticas a nivel de organización.
- Lea la página Comprender la evaluación de la jerarquía para saber cómo se propagan las políticas de la organización.
- Si aún no lo has hecho, configura la autenticación. La autenticación es el proceso mediante el cual se verifica su identidad para acceder a Google Cloud servicios y API. Para ejecutar código o muestras desde un entorno de desarrollo local, puedes autenticarte en Compute Engine seleccionando una de las siguientes opciones:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
- Set a default region and zone.
Las políticas de imágenes confiables no restringen el acceso a las siguientes imágenes:
Imágenes personalizadas en su proyecto local.
Archivos de imagen en depósitos de Cloud Storage.
Las políticas de imágenes confiables no impiden que los usuarios creen recursos de imágenes en sus proyectos locales.
Vaya a la página de políticas de la organización .
En la lista de políticas, haga clic en Definir proyectos de imágenes confiables . Se muestra la página de detalles de la política .
En la página de detalles de la política , haga clic en Administrar política . Se muestra la página Editar política .
En la página Editar política , seleccione Personalizar .
Para Aplicación de políticas , seleccione una opción de aplicación. Para obtener información sobre la herencia y la jerarquía de recursos, consulte Comprensión de la evaluación de jerarquía .
Haga clic en Agregar regla .
En la lista Valores de política , puede seleccionar si esta política de organización debe permitir el acceso a todos los proyectos de imágenes, denegar el acceso a todos los proyectos de imágenes o puede especificar un conjunto personalizado de proyectos a los que permitir o denegar el acceso.
Para establecer la regla de política, complete una de las siguientes opciones:
- Para permitir a los usuarios crear discos de arranque a partir de todas las imágenes públicas, seleccione Permitir todo .
- Para impedir que los usuarios creen un disco de arranque a partir de todas las imágenes públicas, seleccione Denegar todo .
Para especificar un conjunto selecto de imágenes públicas desde las que los usuarios pueden crear discos de arranque, seleccione Personalizado . Se muestra un campo Tipo de política y Valores personalizados .
- En la lista Tipo de política , seleccione Permitir o Denegar .
En el campo Valores personalizados , ingrese el nombre del proyecto de imagen usando el formato
projects/ IMAGE_PROJECT.Reemplace
IMAGE_PROJECTcon el proyecto de imagen en el que desea establecer la restricción.Puede agregar varios proyectos de imágenes. Para cada proyecto de imagen que desee agregar, haga clic en Agregar e ingrese el nombre del proyecto de imagen.
Para guardar la regla, haga clic en Listo .
Para guardar y aplicar la política de la organización, haga clic en Guardar .
Obtenga la configuración de política existente para su proyecto utilizando el comando
resource-manager org-policies describe.gcloud resource-manager org-policies describe \ compute.trustedImageProjects --project=PROJECT_ID \ --effective > policy.yaml
Reemplace PROJECT_ID con su ID de proyecto.
Abra el archivo
policy.yamlen un editor de texto y modifique la restriccióncompute.trustedImageProjects. Agregue las restricciones que necesite y elimine las restricciones que ya no necesite. Cuando haya terminado de editar el archivo, guarde los cambios. Por ejemplo, puede establecer la siguiente entrada de restricción en su archivo de política:constraint: constraints/compute.trustedImageProjects listPolicy: allowedValues: - projects/debian-cloud - projects/cos-cloud deniedValues: - projects/IMAGE_PROJECTReemplace IMAGE_PROJECT con el nombre del proyecto de imagen que desea restringir en su proyecto.
Opcionalmente, es posible que desees denegar el acceso a todas las imágenes fuera de las imágenes personalizadas de tu proyecto. Para esa situación, utilice el siguiente ejemplo:
constraint: constraints/compute.trustedImageProjects listPolicy: allValues: DENY
Aplique el archivo
policy.yamla su proyecto. Si su organización o carpeta tiene restricciones existentes , esas restricciones pueden entrar en conflicto con las restricciones a nivel de proyecto que usted establezca. Para aplicar la restricción, utilice el comandoresource-manager org-policies set-policy.gcloud resource-manager org-policies set-policy \ policy.yaml --project=PROJECT_ID
Reemplace PROJECT_ID con su ID de proyecto.
- Obtenga más información sobre el Servicio de políticas de organización .
- Vea qué imágenes públicas están disponibles para su uso de forma predeterminada.
- Comparte tu imagen privada con otros proyectos.
- Aprenda cómo restringir el uso de sus imágenes, discos e instantáneas compartidas .
- Aprenda cómo iniciar una instancia a partir de una imagen .
REST
Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.
After installing the Google Cloud CLI, initialize it by running the following command:
gcloud initIf you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
Para obtener más información, consulta Autentica para usar REST en la documentación de autenticación de Google Cloud .
Limitaciones
Establecer restricciones de acceso a imágenes
Implemente una política de acceso a imágenes estableciendo una restricción
compute.trustedImageProjectsen su proyecto, su carpeta o su organización. Debe tener permiso para modificar las políticas de la organización para establecer estas restricciones. Por ejemplo,roles/orgpolicy.policyAdmintiene permiso para establecer estas restricciones. Para obtener más información sobre la gestión de políticas a nivel de proyecto, carpeta u organización, consulte Uso de restricciones .Puedes establecer restricciones en todas las imágenes públicas disponibles en Compute Engine. Para obtener una lista de nombres de proyectos de imágenes, consulte Detalles de sistemas operativos . También puedes restringir las imágenes de aprendizaje automático (ML) que están disponibles en Compute Engine mediante el proyecto
ml-images. Si está utilizando Serverless VPC Access , otorgue permiso a su proyecto para usar imágenes de VM de Compute Engine del proyectoserverless-vpc-access-images.Utilice la consola de Google Cloud o la CLI de Google Cloud para establecer restricciones en el acceso a las imágenes.
Consola
Por ejemplo, para establecer una restricción a nivel de proyecto, haga lo siguiente:
Para obtener más información sobre la creación de políticas de organización, consulte Creación y administración de políticas de organización .
nube de gcloud
Por ejemplo, para establecer una restricción a nivel de proyecto, haga lo siguiente:
Cuando haya terminado de configurar las restricciones, pruébelas para asegurarse de que crean las restricciones que necesita.
¿Qué sigue?
A menos que se indique lo contrario, el contenido de esta página está sujeto a la licencia Reconocimiento 4.0 de Creative Commons y las muestras de código están sujetas a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio web de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2025-04-21 (UTC).
-